넥슨코리아 글로벌보안본부 보안분석실 게임핵대응팀 김학수 부팀장은 NDC26 세션에서 AI 기술의 발전으로 고도화된 '파머(작업장)'의 진화 양상을 분석하고, 이들을 근본적으로 억제하기 위한 경제학적 관점의 대응 전략을 공유했다.

과거의 작업장이 노동 집약적이거나 단순 스크립트 기반의 시나리오 안에서만 움직였다면, 현재의 4세대 작업장은 LLM 에이전트와 비전 AI가 결합하여 스스로 게임 화면을 읽고 상황을 판단하는 단계로 진화했다. 이들은 지각, 판단, 학습, 행동의 루프를 사람의 개입 없이 24시간 자체적으로 수행하며, 탐지 시스템에 막히더라도 프롬프트를 수정해 재학습하는 유연함을 보여준다. 특히 오픈소스 객체 탐지 모델의 대중화와 구독형 API 확산으로 인해 비엔지니어도 맞춤형 봇을 손쉽게 제작할 수 있게 되면서 작업장 산업의 진입 장벽이 완전히 무너진 상태다.

 

 

발표자는 '작업장은 단순한 소프트웨어가 아니라 분업화된 조직 구조를 갖춘 산업 그 자체'라고 정의하며, 탐지율이 99%에 달하더라도 그들의 투자 자본 수익률(ROI)가 양수인 한 다른 게임, 다른 국가, 다른 방식으로 반드시 돌아온다고 지적했다. 따라서 보안의 패러다임을 '몇 건을 제재했는가'에서 '전체 유저 중 파머의 규모가 얼마나 남았는가'와 '조치 후 재유입 탄력성 및 ROI 추이'를 측정하는 방향으로 전환해야 한다고 강조했다.

작업장의 ROI를 무너뜨리기 위해 넥슨은 서버 사이드 디텍션, 클라이언트 사이드 디텍션, 대응 액션의 삼각 공조 체계를 구축했다. 망원경의 역할을 하는 서버 사이드는 유저 풀 전체를 분석하여 혼자 튀는 행동을 잡아내는 이상 탐지, 정상적인 거래 내역을 연결해 조직을 색출하는 그래프 신경망, 유저의 행동 시퀀스를 분석하는 트랜스포머 기술을 활용한다. 특히 봇 특유의 부자연스러운 일관성을 수치화하여 대규모 범위를 탐지한다. 돌격대장 역할을 하는 클라이언트 사이드는 자체 보안 솔루션인 NGSX를 통해 구체적인 타깃 프로세스를 특정하고 영구 제재의 법적 근거를 확보한다.

 

 

 

특히 클라이언트 대응의 병목 구간이었던 파일 분석 속도를 높이기 위해 넥슨 게임액대응팀은 AI 전환 도전을 진행 중이다. 우회 기법의 실행 구조, 가상화 보호 강도 등에 따라 분석 기간이 수 주까지 늘어나는 문제를 해결하고자 유입 파일 자동 판단 및 미탐 자동 인식 시스템을 도입했다. 분석 난이도가 높아질수록 작업장의 개발 비용도 함께 올라가므로, AI를 통해 분석 속도를 극대화하면 신규 탐지룰 배포 주기를 24시간 이내로 단축시켜 작업장의 우회 수명을 강제로 줄이고 ROI를 파괴할 수 있다.

마지막으로 하드 밴뿐만 아니라 거래 및 매칭을 제한하여 현금화 경로를 차단하는 소프트 밴 등 전략적인 액션의 결합을 강조했다. 실제로 기터브를 통해 확산된 어뷰징 툴을 분석하여 선제 룰을 배포하고 라이브 버그 패치까지 공조 대응한 결과, 파머 유통 사이트에서 해당 게임이 삭제되는 ROI 파괴의 실증 사례를 확인했다고 밝혔다. 결국 기술을 기술로만 잡으려는 관점에서 벗어나, 작업장이 스스로 돈이 안 된다고 판단해 포기하도록 만드는 경제성 기반의 생태계 무력화가 AI 시대 보안의 최종 목표라고 제시하며 발표를 마쳤다.

 

 

 

 

[성수안 기자 nakir@chosun.com] [gamechosun.co.kr]